Типовые сложности при реализации ГОСТ VPN

Типовые сложности при реализации ГОСТ VPN

Типовые сложности при реализации ГОСТ VPN

Если вы хотите обеспечить защиту трафика между географически распределенными объектами, вам не обойтись без VPN-шлюзов. Если при этом требуется защита в соответствии с законодательством (например, при передаче персональных данных), то такие шлюзы должны быть сертифицированы ФСБ России и использовать отечественные криптоалгоритмы.

 

 

 

 

 

  1. Введение
  2. Сертифицированное СКЗИ
  3. Установка
  4. Настройка
  5. Эксплуатация
  6. Окончание жизненного цикла
  7. Выводы

 

Введение

Есть несколько вариантов реализации криптозащиты каналов связи: комплексный проект (собственными силами или с привлечением интегратора) и приобретение данной услуги по сервисной модели. И заказчики, и интеграторы, и сервис-провайдеры сталкиваются с одними и теми же сложностями при работе с отечественной криптографией.

 

Сертифицированное СКЗИ

VPN-шлюзы — это средства криптографической защиты информации (СКЗИ). Разработка, настройка, эксплуатация и другие связанные с ними работы подлежат лицензированию ФСБ России.

При сертификации разработчик согласовывает с регулятором формуляр и правила пользования, в соответствии с которыми продукт будет эксплуатироваться. Некоторые заказчики, прочитав ограничения из правил пользования, готовы вместо шифрования задействовать любые другие меры — например, для канала связи с пропускной способностью 100 Гб/с на расстоянии в пару километров проще организовать физическую защиту, а не ГОСТ-шифрование.

 

Рисунок 1. Защита канала связи 100Гб/c между двумя соседними зданиями

 

 

Сертификат ФСБ России выдается на 3 года с возможностью продления до 5 лет. Загвоздка заключается в том, что СКЗИ приобретают, как правило, не в день получения сертификата, а позже. В чем-то это и к лучшему, ведь за время использования другими заказчиками уже сформируется практика применения, и производитель исправит мелкие ошибки. Но в любом случае срок полезного применения уменьшается — после окончания сертификата СКЗИ «превращается в тыкву».

Поэтому по завершении срока действия сертификата необходимо приобрести либо обновление программного обеспечения, если оно совместимо с купленной ранее вычислительной платформой, либо полный комплект — программный и аппаратный компоненты. Частично проблему решает расширенная техническая поддержка производителя, которая включает возможность бесплатного получения новых версий программного обеспечения. Но почему-то в комплексных проектах о ней часто забывают; в случае же с сервисной моделью это — задача и «боль» провайдера.

 

Установка

Перед установкой необходимо проверить комплектность СКЗИ, указанную в формуляре. Например, некоторые модели могут оснащаться программно-аппаратным модулем доверенной загрузки, идентификаторами администраторов, дисками с эталонным образом программного обеспечения.

Требования к размещению СКЗИ регламентируются Приказом ФАПСИ от 13 июня 2001 г. №152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну». С 2003 г. функции ФАПСИ переданы ФСБ России.

Как видим, приказ подписан очень давно — его требования в современных реалиях довольно сложно выполнить. Например, в соответствии с этим документом помещения, в которых размещаются СКЗИ, должны охраняться, оснащаться системами контроля доступа, пожарной сигнализации и другими средствами физической безопасности. В случае с центрами обработки данных такие предписания не вызывают удивления и выполняются, а вот при установке СКЗИ в удаленных офисах этими требованиями часто пренебрегают.

 

Настройка

Особое внимание нужно уделять первичной настройке СКЗИ. Обычно это делается либо на специализированном автоматизированном рабочем месте администратора, либо посредством локальной настройки с помощью монитора и клавиатуры. При этом к рабочему месту администратора предъявляется ряд требований: использование только лицензионного программного обеспечения, защита от несанкционированного доступа, подключение к СКЗИ доверенным способом (напрямую или по шифрованному в соответствии с ГОСТом каналу) и т.д.

Перед настройкой необходимо проверить соответствие версии и контрольных сумм на СКЗИ и в формуляре, ввести номер лицензии и инициализировать датчик случайных чисел.

После этого можно приступать непосредственно к разработке политики безопасности, то есть определить, как устройства будут идентифицировать и аутентифицировать друг друга при создании защищенного соединения, какой трафик шифровать/пропускать/запрещать, какую политику безопасности использовать при сбое программного обеспечения и в других нестандартных ситуациях.

Не стоит забывать и о защите самого СКЗИ: не использовать учетные записи администраторов по умолчанию, применять сложные пароли, ограничить сетевой доступ.

При самостоятельной реализации нужно продумать все эти моменты, а при привлечении интегратора — убедиться, что они не забыты в техническом задании. В сервисной модели всё это делает сервис-провайдер, при необходимости он может продемонстрировать процесс заказчику.

 

Эксплуатация

Сложность этого процесса зависит от динамики модернизации сетевой инфраструктуры. Если сеть настроена и изменения минимальны, администратор просто один раз в год обновляет ключи — и всё. Или почти всё: не стоит забывать о периодических аудитах политики безопасности. Актуальны ли правила доступа, написанные год назад? Обновлены ли пароли администраторов? Осуществляется ли регламентная проверка контрольных сумм критичных файлов, которая указана в правилах пользования? Также необходимо регулярно анализировать журналы — через SIEM-систему, если она поддерживает СКЗИ, или по старинке — вручную. Все эти задачи требуют времени квалифицированных инженеров. Интеграторы и сервис-провайдеры регулярно обучают своих специалистов. Если же заказчик решил заниматься эксплуатацией самостоятельно, то инвестиции в обучение ложатся на его плечи.

В части физической защиты, помимо требований к размещению, необходимо периодически контролировать целостность корпуса и пломбы-наклейки.

Разумеется, эксплуатация должна сопровождаться ведением соответствующих документов. Это, в частности:

  • акты приема-передачи и ввода СКЗИ в эксплуатацию,
  • справочно-ключевые дистрибутивы СКЗИ,
  • приказ о назначении администраторов СКЗИ,
  • журнал поэкземплярного учета СКЗИ,
  • эксплуатационная и техническая документация к ним,
  • ключевые документы,
  • журнал учета лиц, допущенных к работе с СКЗИ,
  • журнал учета ключей от помещений, в которых размещены СКЗИ,
  • журнал учета печатей,
  • заключение о допуске пользователя СКЗИ к самостоятельной работе,
  • акт об уничтожении старой версии СКЗИ,
  • журнал учета журналов (да-да, это не шутка).

Для добросовестного ведения такого перечня документации по парку оборудования из более чем 20 устройств в динамичной сети понадобится отдельный человек. А для хранения — помещение, оборудованное металлическими шкафами или сейфами.

Придет время, когда сертификат, выданный ФСБ России, закончится, и потребуется обновление. В лучшем случае для этого достаточно будет обновить программное обеспечение. Кроме того, нужно учитывать трудозатраты (собственных инженеров или интегратора) на выполнение самого обновления и адаптацию политики безопасности к новой версии. Нередко для нового программного обеспечения СКЗИ потребуется и новая аппаратная платформа, а это — уже другой уровень затрат: по сути, нужно купить всё заново, настроить, развести по объектам, а старое решение — утилизировать.

К тому же, в период обновления СКЗИ не может выполнять свои основные функции, поэтому понадобится выбрать некритичный для бизнеса интервал времени.

В техническом плане, если сеть невелика, происходит минимум изменений, офисы не переезжают, адресация и потоки трафика не меняются, — с эксплуатацией справится инженер заказчика. Однако для эксплуатации 24/7 понадобится уже целая бригада администраторов. То же справедливо и для динамично развивающейся сети: новые сервисы, новые потоки трафика, новые объекты создают существенную нагрузку на персонал. В этом плане сервис-провайдер явно выигрывает — «дежурка» уже есть и работает по отлаженным процессам.

 

Окончание жизненного цикла

Вывод из эксплуатации — отдельная процедура, описанная в документации к СКЗИ. Необходимо, как минимум, удалить ключевую информацию и деинсталлировать решение. Всё это оформляется специальным актом и отражается в журнале учета СКЗИ и ключей.

В интернете можно найти множество предложений по продаже бывших в употреблении СКЗИ. Это — и нарушение законодательства о лицензировании, и, возможно, утечка ключевой информации (если она не была заранее удалена). Такие нарушения грозят продавцу административной, а иногда и уголовной ответственностью. Рискует и сам покупатель — как он объяснит появление у него СКЗИ, которое изначально продано другому клиенту?

 

Выводы

Процесс эксплуатации СКЗИ регламентируется формуляром, правилами пользования и другой документацией. Из-за большого объема неподготовленному человеку довольно сложно разобраться в ней. В целом процессы внедрения и эксплуатации СКЗИ весьма ресурсоемки и требуют квалифицированного персонала, как в технической, так и в «бумажной» части.

Небольшая компания с несколькими офисами и некритичным простоем сервиса вполне может реализовать проект по криптозащите самостоятельно или с минимальным привлечением интеграторов. Эксплуатация 24/7 ей не требуется, а задачи в этой части можно распределить между имеющимися сотрудниками.

Компании, относящиеся к сегменту среднего бизнеса, предпочитают фокусироваться на основной деятельности и не погружаться во все нюансы работы с СКЗИ. Им выгоднее привлечь интегратора на полный цикл работ или воспользоваться услугами сервис-провайдера.

Самостоятельная реализация криптозащиты по силам лишь крупной компании с квалифицированным штатом ИТ/ИБ. Но и задачи у таких заказчиков более сложны и специфичны, поэтому они привлекают либо интеграторов (как минимум для проектирования и внедрения), либо сервис-провайдеров. Кстати, последний вариант позволяет им не только получить услугу требуемого качества «под ключ», но и избежать значительных капитальных затрат на проект.

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru